Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-71211
Krytyczne

Podatność w konsoli zarządzania Trend Micro Apex One może umożliwić zdalnemu atakującemu przesyłanie złośliwego kodu i wykonywanie poleceń na dotkniętych instalacjach. Wpływa na inny plik wykonywalny niż CVE-2025-71210.

CVE-2025-71210
Krytyczne

Podatność w konsoli zarządzania Trend Micro Apex One może umożliwić zdalnemu atakującemu przesyłanie złośliwego kodu oraz wykonywanie poleceń na dotkniętych instalacjach.

CVE-2026-5118
Krytyczne

Wtyczka Divi Form Builder dla WordPressa jest podatna na eskalację uprawnień w wersjach do 5.1.2 włącznie. Problem wynika z akceptacji parametru 'role' kontrolowanego przez użytkownika z danych POST podczas rejestracji użytkownika, bez jego walidacji względem ustawienia default_user_role formularza.

CVE-2026-43501
Krytyczne

W jądrze Linux wykryto podatność w funkcji ipv6_rpl_srh_rcv() dotyczącą nagłówka routingu RPL (RFC 6554). Podczas dekompresji i rekompresji nagłówka SRH może on urosnąć, a brak odpowiedniego sprawdzenia dostępnego miejsca w buforze (headroom) prowadzi do zapisu poza pamięcią (out-of-bounds write).

CVE-2026-44050
Krytyczne

W Netatalk w wersjach od 2.0.0 do 4.4.2 występuje przepełnienie bufora oparte na stercie w funkcji comm_rcv() demona CNID, co pozwala zdalnemu, uwierzytelnionemu atakującemu na wykonanie dowolnego kodu z podwyższonymi uprawnieniami lub spowodowanie odmowy usługi.

CVE-2026-6279
Krytyczne

Wtyczka Avada Builder (fusion-builder) dla WordPressa jest podatna na zdalne wykonanie kodu bez uwierzytelnienia poprzez wstrzykiwanie funkcji PHP w wersjach do 3.15.2 włącznie. Problem wynika z przekazywania wartości kontrolowanych przez atakującego do funkcji `call_user_func()` bez walidacji na liście dozwolonych.

CVE-2026-9152
Krytyczne

W Altium 365 SearchService występuje luka związana z brakiem uwierzytelnienia, która umożliwia atakującym dostęp do operacji indeksu wyszukiwania bez wymogu autoryzacji. Luka ta pozwala na interakcję z indeksem wyszukiwania konkretnego obszaru roboczego, co może prowadzić do ujawnienia wrażliwych informacji.

CVE-2026-48172
Krytyczne

Wtyczka LiteSpeed User-End cPanel przed wersją 2.4.5 umożliwia eskalację uprawnień, potencjalnie do poziomu roota. Wykryto jej wykorzystanie w maju 2026 roku.

CVE-2026-47372
Krytyczne

Wersje Crypt::SaltedHash do 0.09 dla Perla generują niebezpieczne wartości losowe dla soli. Używają one wbudowanej funkcji rand, która jest przewidywalna i nieodpowiednia do zastosowań kryptograficznych.

CVE-2026-8631
KrytyczneEPSS 68%

W oprogramowaniu HP Linux Imaging and Printing wykryto potencjalną podatność polegającą na przepełnieniu liczby całkowitej w ścieżce przetwarzania hpcups. Może ona umożliwić eskalację uprawnień lub zdalne wykonanie kodu poprzez spreparowane dane wydruku.

CVE-2026-9141
Krytyczne

Taiko AG1000-01A SMS Alert Gateway w wersjach 7.3 i 8 zawiera podatność na obejście uwierzytelniania w wbudowanym interfejsie konfiguracyjnym, co pozwala nieautoryzowanym atakującym na dostęp do wewnętrznych stron aplikacji bez jakiejkolwiek kontroli sesji lub uwierzytelniania po stronie serwera.

CVE-2026-9139
Krytyczne

Taiko AG1000-01A SMS Alert Gateway w wersjach Rev 7.3 i Rev 8 zawiera podatność na twardo zakodowane dane uwierzytelniające w wbudowanym interfejsie konfiguracyjnym. Uwierzytelnienie jest realizowane całkowicie w JavaScript po stronie klienta, co umożliwia atakującym odzyskanie danych administracyjnych.

CVE-2026-9129
Krytyczne

W Altium Enterprise Server Viewer StorageController występuje podatność na traversowanie ścieżek z powodu niewłaściwego przetwarzania parametrów ścieżki pliku. Użytkownik z odpowiednimi uprawnieniami może dostarczyć zakodowaną URL-owo absolutną ścieżkę, co pozwala na odczyt dowolnych plików z systemu plików serwera.

CVE-2026-9102
Krytyczne

W Altium Enterprise Server w usłudze ComparisonService występuje podatność na przejście ścieżki z powodu braku sanitizacji nazw plików w interfejsach API przesyłania plików Gerber. Użytkownik z odpowiednimi uprawnieniami może dostarczyć spreparowaną nazwę pliku, co pozwala na zapisanie dowolnych plików w systemie plików serwera.

CVE-2026-9082
Krytyczne

W Drupal core występuje podatność na SQL Injection spowodowana niewłaściwą neutralizacją specjalnych elementów używanych w poleceniach SQL. Dotyczy to wersji od 8.9.0 do przed 10.4.10, od 10.5.0 do przed 10.5.10, od 10.6.0 do przed 10.6.9, od 11.0.0 do przed 11.1.10, od 11.2.0 do przed 11.2.12 oraz od 11.3.0 do przed 11.3.10.

CVE-2026-45444
Krytyczne

Podatność w WP Swings Gift Cards For WooCommerce Pro umożliwia nieograniczone przesyłanie plików z niebezpiecznymi typami, co pozwala na wykorzystanie złośliwych plików.

CVE-2026-39405
Krytyczne

System zarządzania nauką Frappe (LMS) w wersjach 2.50.0 i poniżej pozwalał użytkownikom z rolą edytora kursów na przesyłanie pakietów SCORM ZIP, co umożliwiało zapis plików poza zamierzonym katalogiem. Problem został rozwiązany w wersji 2.50.1.

CVE-2026-33137
Krytyczne

XWiki Platform w wersjach od 15.10.6 do 18.1.0-rc-1, 17.10.3, 17.4.9 oraz 16.10.17 ma lukę, która pozwala na import XAR bez weryfikacji uwierzytelnienia lub autoryzacji. To umożliwia nieautoryzowanemu atakującemu tworzenie lub aktualizowanie dokumentów w docelowym wiki.

CVE-2026-23734
Krytyczne

Platforma XWiki przed wersją 18.1.0-rc-1, 17.10.3, 17.4.9 i 16.10.17 umożliwia dostęp do plików konfiguracyjnych poprzez wykorzystanie ataku Path Traversal. Można to osiągnąć, manipulując parametrem resource w punktach końcowych ssx i jsx.

CVE-2026-20223
KrytyczneEPSS 55%

Podatność w mechanizmie walidacji dostępu do wewnętrznych interfejsów API REST w Cisco Secure Workload umożliwia nieuwierzytelnionemu, zdalnemu atakującemu dostęp do zasobów witryny z uprawnieniami roli Site Admin. Problem wynika z niewystarczającej walidacji i uwierzytelniania przy dostępie do punktów końcowych API REST.

PoprzedniaStrona 69 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS